IT-Sicherheitspolitik: Aktuelle Themen, Entwicklungen und Handlungsfelder

Als PDF herunterladen

In 2015 drangen Hacker in das interne Netzwerk des deutschen Bundestages ein und legten es lahm. Im gleichen Jahr stahlen Unbekannte persönliche Daten von 22 Millionen Mitarbeiterinnen und Mitarbeitern des öffentlichen Dienstes in den USA. 2014 richtete ein digitaler Angriff auf ein Stahlwerk der ThyssenKrupp AG massiven Schaden bei einem Hochofen an. IT-Sicherheit ist bereits heute von großer Bedeutung und wird mit der milliardenfachen Vernetzung von Geräten und Maschinen in privaten Haushalten, Industrieanlagen oder Behörden an Bedeutung zunehmen.

Obwohl bei Angriffen immer mehr auf dem Spiel steht, wird das Thema IT-Sicherheit in weiten Teilen der Politik nur langsam als Aufgabenfeld von Regierung und Parlament wahrgenommen. Der Grund: IT-Sicherheitspolitik erscheint durch die technische Komponente kompliziert – die Einflussmöglichkeiten für Politik sind oft unklar. Hinzu kommt, dass sich unser eingeübtes Verständnis von Sicherheit kaum in die Welt des Internets, einem globalen, digitalen Netzwerk, übertragen lässt. Ein öffentliches Gelände lässt sich räumlich absichern. Eine mit dem Internet verwobene Wirtschaft und Gesellschaft dagegen nicht. Wirtschafts-, Innen- und Rechtspolitiker müssen dieses neue sicherheitspolitische Umfeld mit seinen Eigenarten kennenlernen, um wirkungsvolle Gesetze und Maßnahmen zu entwerfen.

Im Bereich der IT-Sicherheit sind vor allem fünf Aspekte von zentraler Bedeutung, die zur Unsicherheit von Hard- und Software grundsätzlich beitragen und die daher bei einer strategischen IT-Sicherheitspolitik adressiert werden müssen:

• Die Komplexität heutiger Technologie: IT-Systeme basieren auf mehreren hundert Millionen Zeilen geschriebenen Quellcodes und Milliarden von Transistoren. Sicherheitslücken und absichtlich eingebaute Hintertüren lassen sich nur schwer entdecken und sind nicht zu verhindern.
• Abhängigkeit von internationalen Zulieferern: Moderne IT-Systeme setzen sich aus vielen Einzelteilen unterschiedlicher Hersteller zusammen. Zwar wird ein Smartphone unter der Marke Apple, Samsung oder Motorola verkauft. In Wirklichkeit besteht es jedoch aus Komponenten von Broadcom, intel, Sanyo und Unzähligen mehr. Eine Schwachstelle in einer einzelnen Komponente kann das gesamte System gefährden.
• Ein globales Netzwerk: Wird ein Computer mit dem Internet verbunden, besteht zwangsläufig auch eine Verbindung mit allen anderen Computern weltweit. Ein Angriff ist damit von überall möglich.
• Weltweit verbreitete Hard- und Software: Menschen, Organisationen und Geräte nutzen weltweit häufig die gleichen IT-Produkte einiger weniger Hersteller. Cisco stellt etwa 60 Prozent der Internetrouter weltweit her. 80 Prozent der Smartphones verwenden Googles Android Betriebssystem. Einzelne Sicherheitslücken werden somit zu einer massenhaften Gefahr und Angriffe können leicht übertragen werden.
• Wenig Marktanreize für sichere IT: Sicherheit spielt bei der Kaufentscheidung nur eine geringe Rolle, weil gerade Verbraucher nur schwer die Sicherheit von Geräten und Software einschätzen können. Zudem sorgt die schnelle Entwicklung immer neuer Produkte dazu, dass die Behebung von Sicherheitslücken bei bestehenden Modellen vernachlässigt wird. Hersteller können für Sicherheitsmängel nur schwer haftbar gemacht werden - so gibt es für sie keine ökonomischen Anreize auf Sicherheit bei der Entwicklung zu achten.

Bisher setzt die staatliche IT-Sicherheitspolitk vor allem auf eine Stärkung der Überwachungs- und Angriffsfähigkeiten von Bundeswehr, Bundesnachrichtendienst und Bundesverfassungsschutz. Die Konsequenz: Die IT-Sicherheitspolitik in Deutschland ist derzeit nur begrenzt wirksam, weil sie nur einen sehr kleinen Teil der bestehenden Sicherheitsprobleme adressiert. Eine umfassende IT-Sicherheitspolitik sollte unter anderem die folgenden Handlungsfelder abdecken:

• Gleichgewicht zwischen offensiver und defensiver Politik: Sicherheitsbehörden und Militär sollten Sicherheitslücken nicht horten, um sie selbst irgendwann zu benutzen. Dadurch wird die Sicherheit aller gefährdet. Stattdessen sollten Gefundene Sicherheitslücken konsequent geschlossen werden.
• Der Informationsaustausch über Sicherheitsrisiken: Die deutsche IT-Sicherheitspolitik steht vor der Herausforderung Vertrauensnetzwerke in den unterschiedlichen Branchen zu fördern und hierfür der Position des IT-Sicherheitsbeauftragten mehr Relevanz zu geben. Gleichzeitig sollte das BSI vollständig unabhängig werden, um seiner Aufgabe gegenüber Zivilgesellschaft und Unternehmen gerecht werden zu können.
• Marktanreize schaffen: Verbesserung der Softwarequalität spielt eine zentrale Rolle in einer nachhaltigen Sicherheitspolitik. Aus ökonomischer Sicht haben IT-Hersteller bisher wenige Anreize von Anfang an bei der Entwicklung auf Sicherheit zu fokussieren. Die Politik sollte daher einerseits Open Source-Software fördern und andererseits Hersteller proprietärer Software stärker in die Haftung nehmen und gesetzliche Gewährleistungen ausweiten.
• Internationale Kooperation: Erfolgreiche Angriffe auf kritische Infrastrukturen oder auch Wirtschaftsspionage gehen selten von Kriminellen oder Terroristen aus, sondern werden maßgeblich von Geheimdiensten oder ihnen nahestehenden Hackergruppen durchgeführt. Wie bei klassischer Sicherheitspolitik ist daher die reine Abwehr wenig zielführend. Es braucht gleichzeitig internationale Kooperation und Abkommen.